大东话安全之“婆”——Allaple
2018/3/27 中科院之声

     编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

     一、谶曰

     植物大战僵尸：催眠蘑菇会让僵尸转而为你而战。

     东哥：“阿拉婆”会让 html 文件为你运行病毒副本。

     小白：就是删!

     二、病毒通缉令

    

     小白：又来一朵“食人花”!我记得上次那朵是……是是是啥来着？

     大东：你说 Sality？

     小白：啊……好像是吧……

     大东：那张牌的“食人花”长着蜗牛眼睛，今天这朵花的眼睛长嘴里嘞。今天这朵“花”叫“Allaple”，该家族是一种多线程的多态感染型的网络蠕虫，能够传播至其他连接了本地网络的计算机汇总并对特定的远程网站进行拒绝服务攻击。它利用网络共享进行传播，其中文名称为“阿拉婆”。

     三、狡诈不减当年的“婆”

     大东：你可别小看“阿拉婆”。身为多态感染性病毒，“阿拉婆”比一般病毒的破坏力更大，且变种众多，主要感染 Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7操作系统上的*.htm或*.html文件。用户的电脑中毒后，会出现系统运行缓慢，网络拥堵，重要资料丢失等现象。仅2007年1月1日至6月30日期间，分布式蜜网捕获次数前十名的代码中，两种“阿拉婆”变种光荣登榜。

    

     2007年1月1日至6月30日期间，蜜网捕获次数前十名的恶意代码样本

     小白：看来“婆婆”身手还利落呢~

     四、真假系统服务

     大东：这个“阿拉婆”进入受害电脑后，首先获取自身路径名，找到最末位的字符，对比该路径名称是否为目录。如果“阿拉婆”发现此路径不是目录，就去查找程序是否带有参数"-embedding"。若没有，则继续查找自身路径，并获取系统路径，对比二者来判断自身是否在系统的system32目录下。若还不是，则将自身复制为\system32\urdvxc.exe。

    

     “阿拉婆”将自身复制为\system32\urdvxc.exe

     小白：噢我知道了，绕了一大圈什么的都不重要，“阿拉婆”就是想要进入系统目录~

     大东：这还没完呢。完成以上步骤，病毒运行复制后的程序，连接服务控制管理器，将自己添加成名为“MSWindows”的服务项，显示名称是"Network Windows Service"，对应的注册表是：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows，名字叫：ImagePath，数值是："C:\WINDOWS\system32\urdvxc.exe" /service。

    

     “阿拉婆”新增服务的信息

     小白：大东东慢点儿说，让我好好看看，以后可别上病毒的当了!

     大东：可以看出，这个新增服务加载的程序正是病毒复制在系统目录下复制的urdvxc.exe，通过这种方式实现urdvxc.exe的开机自启动。

     小白：太狡猾了!

     大东：运行后，urdvxc.exe会遍历本地盘符，查找所有htm/html文件，一旦发现则将生成自身副本，随机命名后复制到该目录下，并在htm/html文件中的标签后插入代码指向病毒程序。由于病毒能自我变形，副本文件虽大小都是57856字节，但都长得不一样。每个htm/html页面中的CLSID不同，分别对应病毒副本的CLSID，即当用户打开该htm/html文件时，对应CLSID的病毒副本将被运行。此外，病毒会尝试通过系统漏洞和系统弱口令传播给其它计算机，还能发起DoS攻击。

     小白：Dos攻击？

     大东：Denial of Service，一种故意攻击网络的缺陷或直接通过野蛮手段耗尽被攻击对象的资源的攻击行为，目的是让目标计算机或网络无法提供正常的服务，使目标系统服务系统停止响应甚至崩溃。

    

     Dos攻击示意图

     小白：跟流量过大导致服务器宕机一个道理吧~

     大东：区别在于，一个是正常访问服务器，一个是恶意攻击。

     五、删到地老天荒

     小白：这可咋对付呀？

     大东：首先，当然是立即停止计算机上显示名为"Network Windows Service"的服务项，删除病毒生成注册表项，还要删除那个万恶之源urdvxc.exe文件。

     小白：这就可以了？

     大东：当然没有，最好全盘搜索大小约58K的文件，删除文件名随机的可疑病毒副本。还有一点，编辑所有htm/html文件，把标签下的有害代码挨个儿删除了。

     小白：长啥样才叫有害代码呀？

     大东：举个例子，，跟它长得像的就是有害代码。

     小白：这个老婆婆是个多线程生物!

     大东：在专业一点的领域，多线程是指从软件或者硬件上实现多个线程并发执行的技术。具有多线程能力的计算机因有硬件支持而能够在同一时间执行多于一个线程，进而提升整体处理性能。具有这种能力的系统包括对称多处理机、多核心处理器以及芯片级多处理或同时多线程处理器。

    

     多线程“工作”

     小白：那多线程的病毒虫貌似很难对付了。

     大东：是的呀!启动后的多线程病毒建立两个线程，除了普通线程之外，还有一个内核线程。这个内核线程跟踪监控自己的普通线程，一旦普通线程被查杀，就会立刻重新启动再建一个普通线程，因此普通杀毒软件无法彻底查杀。

     小白：好怕!

     大东：同时，这个病毒十分有效地利用局域网进行传播。一旦它进入局域网中的某台机器，就会立刻在“网上邻居”中搜索共享文件夹。只要搜索到某个可写共享文件夹，就会生成以被感染机器名开头的.eml文件，因此最后导致局域网的所有机器都成为病毒邮件的“发送基地”。

     六、小白内心说

     大东：咱们小白听明白了么？

     小白：嗯!看完大东东的演示清晰多了~不过这个阿拉婆的目标不只是咱们这些“贫困”的小用户吧？

     大东：当然，任何存在此类漏洞的企业、政府、高校的主机都有可能受到攻击。

     小白：那怎么办？!现在到处是互联网+，衣食住行都离不开互联网，我可不想家里摄像头被入侵啊啊~~

     大东：你这个问题很棘手。伴随着互联网的快速发展，网络安全问题愈发重要。木马和僵尸网络、移动互联网恶意程序等网络安全事件使得基础网络和关键基础设施面临着较大的安全风险。因此，如何有效应对和预防网络安全威胁至关重要。

     小白：大东东有何对策？

     大东： 我的答案是IS——Inside Solution。这是一种嵌入式解决方案，能根据需求提供定制化、持续性、正向输出的解决方案，以及多维度、多角度、细粒度服务保障以及网安新威胁的应急预警和防护方案。

     小白：定制化？

     大东：以往的威胁应急预警和防护的侧重点往往缺乏系统性，导致事故发生了才提出具体策略，而IS针对这种现状提出了强化预警方案，成为网络安全的贴身护卫，实时感知，定点侦测，合理预判。

     小白：厉害了!大东东给我也定制一个啊~~

     七、话说漫威

     大东：X-23——这个名字怎么样？

     小白：听起来像是机器人编号。

     大东：X-23全名是Laura Kinney，她是一个异变人。

     小白：有啥超能力？

     大东：她的异变能力和狼人Wolverine一样，因为她本来就是Wolverine复制出来的，不同之处在于X-23手上只会弹出两块刀片，另一块则从脚弹出。一样拥有快速的回复能力，有极高的体能、速度、力量和反应，如今，她还拥有病毒传染的能力，她变异成一种多线程的多态感染型的网络蠕虫，能够传播至其他连接了本地网络的计算机汇总并对特定的远程网站进行拒绝服务攻击，重新化名为“阿拉婆”。

    

     X-23

     来源：中国科学院计算技术研究所

    

    

    http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药